Panduan ini menjelaskan cara membuat dan menggunakan pengesahan Otorisasi Biner . Setelah image container dibuat, pengesahan dapat dibuat untuk menegaskan bahwa aktivitas yang diperlukan dilakukan pada image, seperti uji regresi, pemindaian kerentanan, atau pengujian lainnya. Pengesahan dibuat dengan menandatangani ringkasan unik image.
Selama deployment, Otorisasi Biner memverifikasi pengesahan menggunakan attestor, bukan mengulangi aktivitas. Jika semua pengesahan untuk image diverifikasi, Otorisasi Biner akan mengizinkan image untuk di-deploy.
Sebelum memulai
Siapkan Otorisasi Biner dengan salah satu produk berikut:
Pengguna Cloud Service Mesh hanya perlu menyiapkan kebijakan Otorisasi Biner. Untuk melakukannya, lihat Mengonfigurasi kebijakan, nanti di panduan ini.
Membuat attestor
Untuk menggunakan pengesahan, Anda harus membuat attestor terlebih dahulu. Saat deployment, Otorisasi Biner menggunakan attestor untuk memverifikasi pengesahan yang terkait dengan image container.
Anda dapat membuat attestor menggunakan metode berikut:
- The Google Cloud CLI
- Konsol Google Cloud
Mengonfigurasi aturan kebijakan untuk mewajibkan pengesahan
Bagian ini menjelaskan cara mengonfigurasi kebijakan untuk mewajibkan pengesahan.
GKE
Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
- Konsol Google Cloud
- Alat command line
Konfigurasikan aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
- Konsol Google Cloud
- Alat command line
Cloud Run
Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan salah satu metode berikut:
Distributed Cloud
- Konfigurasikan aturan default untuk mewajibkan pengesahan menggunakan metode berikut:
- Konsol Google Cloud
- Alat command line
- Konfigurasikan aturan khusus cluster untuk mewajibkan pengesahan menggunakan metode berikut:
- Konsol Google Cloud
- Alat command line
Cloud Service Mesh
Pengguna Cloud Service Mesh dapat membuat aturan—termasuk aturan yang mewajibkan pengesahan—yang dicakup ke identitas layanan mesh, akun layanan Kubernetes, atau namespace Kubernetes.
Untuk mengonfigurasi aturan tertentu, gunakan metode berikut:
- Konsol Google Cloud
- Alat command line
Membuat pengesahan
Pengesahan dibuat oleh penandatangan. Proses pembuatan pengesahan juga dikenal sebagai penandatanganan image. Penandatangan dapat berupa orang yang membuat pengesahan secara manual. Atau, penandatangan dapat berupa layanan otomatis. Untuk mengetahui petunjuk yang menjelaskan berbagai pendekatan untuk membuat pengesahan, lihat halaman berikut:
- Buat pengesahan secara manual dengan menandatangani image container.
- Membuat pengesahan dalam pipeline Cloud Build.
Men-deploy image
Setelah membuat pengesahan, Anda siap men-deploy image terkait.
GKE
Cloud Run
Distributed Cloud
Cloud Service Mesh
Workload Cloud Service Mesh akan diterapkan segera setelah kebijakan disimpan.
Langkah berikutnya
- Melihat log audit
- Melihat log audit breakglass Cloud Run
- Menggunakan breakglass (GKE)
- Menggunakan breakglass (Cloud Run)
- Menggunakan ringkasan image dalam manifes Kubernetes